[英]Invalidate session cookie on server side
如何删除/使服务器端的会话cookie无效,这样就无法使用被盗的cookie登录?
这是我的登录代码:
var claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(claims, "Forms"));
var sessionToken = new SessionSecurityToken(claimsPrincipal);
FederatedAuthentication.SessionAuthenticationModule.WriteSessionTokenToCookie(sessionToken);
HttpContext.Current.User = claimsPrincipal;
Thread.CurrentPrincipal = claimsPrincipal;
这是我的注销码:
FederatedAuthentication.SessionAuthenticationModule.SignOut();
HttpContext.Current.User = null;
Thread.CurrentPrincipal = null;
您可以添加基于时间的声明,该声明可以在服务器之间在两个请求之间进行验证,并在验证后提供请求验证令牌并存储在内存或隐藏字段中。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.